O que abordamos:

1. Principais riscos do uso da IA nas empresas

2. Aspectos legais e regulatórios no uso da IA

3. Governança de IA

5. Como utilizar a IA de maneira segura no trabalho

5. Protegendo sua Infraestrutura na era de IA

6. Como as soluções BluePex® utilizam a IA para fortalecer a segurança corporativa nas empresas.

As ferramentas de Inteligência Artificial (IA) experimentaram um crescimento explosivo nos últimos anos, transformando radicalmente a forma como trabalhamos e interagimos com a tecnologia. Do ChatGPT ao Google Gemini, passando pelo Microsoft Copilot, entre outras, essas ferramentas se tornaram aliadas poderosas para aumentar a produtividade no ambiente de trabalho.

No entanto, essas ferramentas também trazem consigo desafios críticos e riscos especialmente relacionados à segurança de dados: vazamentos de dados confidenciais, violações de conformidade regulatória, exposição de informações sensíveis de clientes e funcionários, e até mesmo problemas legais, são apenas alguns dos perigos associados ao uso descuidado da IA.

Em 2024, a Autoridade Nacional de Proteção de Dados (ANPD) determinou que a Meta suspendesse o uso de dados pessoais para treinamento de IA, estabelecendo multa diária de R$ 50 mil por descumprimento, demonstrando que as autoridades reguladoras estão atentas aos riscos.

Essa situação pressiona empresas e profissionais a adotar medidas de prevenção que permitam minimizar esses riscos e aproveitar melhor as oportunidades oferecidas pela tecnologia. Para compreender melhor essas medidas, é fundamental primeiro entender os principais riscos envolvidos.

Principais riscos do uso da IA nas empresas

Riscos de segurança e privacidade

A IA pode expor dados sensíveis da empresa quando funcionários compartilham informações confidenciais com sistemas externos. Há também vulnerabilidades relacionadas a vazamentos de dados, ataques cibernéticos direcionados a sistemas de IA e possível acesso não autorizado a informações proprietárias.

Riscos de Conformidade e Regulamentação

Com o surgimento de novas regulamentações sobre IA (como o AI Act da União Europeia), as empresas enfrentam desafios para manter conformidade. Isso inclui questões sobre uso de dados pessoais, transparência algorítmica e responsabilidade por decisões automatizadas.

Aspectos legais e regulatorios do uso da IA

É possível que a IA treine e aprenda com conteúdo confidencial?

A resposta curta é sim. Em suas políticas, as principais empresas desenvolvedoras de ferramentas de IA expressam claramente como utilizam os dados dos usuários para aprimorar seus sistemas, e por isso compreender essas diretrizes é fundamental para o uso consciente da tecnologia.

Tratamento de dados pelas principais plataformas

A OpenAI, criadora do ChatGPT, especifica em sua política de privacidade que as conversações com o chatbot são armazenadas e podem ser utilizadas para múltiplas finalidades. Primeiramente, para identificar e resolver problemas técnicos, bem como para detectar violações dos termos de serviço. Nesses casos, as conversas podem até mesmo ser analisadas por revisores humanos. Adicionalmente, esses dados servem para treinar versões futuras do GPT e implementar outras melhorias no produto.

Praticamente todos os outros modelos de linguagem amplamente utilizados seguem diretrizes semelhantes. O Gemini do Google, o Claude da Anthropic, e as soluções Bing e Copilot da Microsoft também mantêm registros completos das interações dos usuários.

Implicações práticas do armazenamento

Já ocorreram situações onde falhas técnicas resultaram na exposição acidental de conversas, fazendo com que usuários vissem diálogos de outras pessoas em vez dos próprios. O uso desses dados para treinamento também apresenta riscos potenciais: um assistente de IA poderia inadvertidamente fornecer informações de um usuário a outro, caso considere esses dados relevantes para uma resposta.

Portanto, é indispensável saber que tudo o que seja enviado num chatbot pode ser utilizado, e por isso tomar medidas ao interagir com as ferramentas é essencial. 

Chat GPT e plataformas similares estão em conformidade com a LGPD?

Não há conformidade integral com a LGPD. Uma pesquisa conduzida pelo Centro de Tecnologia e Sociedade da FGV Direito Rio investigou o grau de conformidade das principais plataformas de IA generativa com a legislação brasileira de proteção de dados.

O estudo examinou sete plataformas populares (ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek e Meta AI) utilizando 14 critérios fundamentais baseados nas diretrizes da ANPD.

Os resultados revelaram que nenhuma das ferramentas analisadas demonstrou conformidade integral com os requisitos básicos da LGPD. A análise mostrou variações significativas no grau de adequação entre as diferentes plataformas.

Resultados da análise de conformidade:

1. Melhor desempenho: Claude, Gemini e Meta AI conseguiram atender à maior parte dos critérios avaliados, cumprindo 11 dos 14 requisitos estabelecidos.
2. Desempenho intermediário: o ChatGPT apresentou deficiências em aproximadamente um terço dos critérios analisados, falhando em 5 dos 14 requisitos fundamentais.
3. Maior inadequação: as plataformas DeepSeek e Grok demonstraram os maiores problemas de conformidade, atendendo apenas 5 e 6 critérios respectivamente dos 14 avaliados

Principais não conformidades identificadas:

1. Políticas em português: DeepSeek e Grok não disponibilizam versões em português.
2. Transferência internacional de dados: a maioria das plataformas apresenta problemas na transparência sobre transferência de dados para outros países. Apenas o Claude utiliza mecanismo reconhecido pela ANPD, embora ainda falhe em especificar destinos e bases legais.
3. Falta de clareza sobre direitos: as plataformas não explicam adequadamente aos usuários quais são seus direitos garantidos pela LGPD, dificultando o exercício dessas prerrogativas.
4. Ausência de responsáveis designados: algumas plataformas, como a DeepSeek, não fornecem informações de contato adequadas sobre os responsáveis pelo tratamento de dados.
5. Falta de transparência: sobre quais dados são usados para treinar os modelos de IA.

De acordo com a LGPD, cabe às empresas disponibilizar informações de forma clara, objetiva e acessível para que o tratamento de dados pessoais seja considerado adequado perante a lei.

Diante dessa realidade, torna-se ainda mais crítica a adoção de medidas e práticas específicas para evitar vazamentos de informações e assegurar a privacidade dos dados.

As empresas precisam implementar controles internos rigorosos e assumir uma postura proativa nesse sentido. Mas quais são as consequências legais do uso inadequado dessas ferramentas?

Tem penalização por uso indevido da IA?

Embora o Brasil ainda não possua uma legislação específica dedicada exclusivamente à IA, práticas abusivas ou ilegais podem ser enquadradas em normas já existentes, como:

1. LGPD, principalmente em casos de vazamento ou uso indevido de dados pessoais.
2. Código Civil e Código de Defesa do Consumidor, para responsabilizar empresas por danos causados a clientes, como informações falsas, discriminatórias ou erros automatizados.
3. Marco Civil da Internet, em situações de violação de direitos online.
4. Leis trabalhistas, quando a IA é usada para monitoramento excessivo ou avaliações injustas de funcionários.

As penalizações podem incluir:

1. Multas financeiras, que podem chegar a milhões de reais.
2. Proibição temporária ou permanente do uso de determinadas ferramentas.
3. Obrigação de reparação de danos aos consumidores ou usuários afetados.
4. Restrições à atividade empresarial, , especialmente em setores sensíveis (como saúde, finanças, educação).

Responsabilidade de Plataformas

Plataformas não são necessariamente responsáveis por conteúdos de terceiros, mas devem agir prontamente após notificações, conforme determina o Marco Civil

Isso significa que, embora as empresas desenvolvedoras de IA tenham suas responsabilidades, as organizações que utilizam essas ferramentas também precisam assumir sua parte na proteção de dados.

Diante desse cenário regulatório complexo e em constante evolução, a implementação de uma governança adequada de IA torna-se não apenas uma boa prática, mas uma necessidade estratégica para qualquer organização que deseje utilizar essas tecnologias de forma responsável e segura.

Governança de IA

Com o uso massivo da IA no mundo, os riscos à privacidade e o aumento de casos de uso indevido fazem da governança uma prioridade global. 

Atualmente, já existem diferentes referências internacionais que buscam orientar o uso ético e seguro da inteligência artificial no ambiente corporativo. Entre as principais, destacam-se:

1. ISO 42001: estabelece um conjunto de diretrizes internacionais para orientar a governança, a segurança e a transparência em projetos de Inteligência Artificial.
2. AI Act (União Europeia): cria uma classificação por níveis de risco para o uso de IA e define obrigações diferentes para cada nível, como auditorias e mecanismos de transparência.
3. Blueprint for an AI Bill of Rights (EUA): reúne princípios que buscam proteger os cidadãos em aplicações de IA, garantindo direitos básicos relacionados à privacidade e ao uso ético da tecnologia.

Perspectivas para o Brasil

No Brasil, a regulamentação caminha para garantir o uso responsável e seguro da IA, com o Projeto de Lei n.º 2.338/2023, que busca estabelecer marcos regulatórios específicos para inteligência artificial. Esse projeto visa criar um ambiente mais seguro e previsível para o desenvolvimento e uso de IA no país.

Como utilizar a IA de maneira segura no trabalho

Para os funcionários:

Leia as políticas de privacidade

Elas indicam exatamente como os dados são tratados.

Não envie dados pessoais

Nunca insira dados pessoais sensíveis em ferramentas de IA, isso inclui dados como CPF, RG, números de cartão de crédito, senhas, endereços residenciais completos ou qualquer informação que possa identificar você ou terceiros de forma única. Além disso evite compartilhar informações pessoais de colegas, clientes ou parceiros comerciais. Essa prática apresenta dois riscos principais:

1. Uso inadequado dos dados: Os dados podem ser utilizados para treinamento e aprendizado das IA, ou utilizados de forma inadequada por terceiros. Mesmo que pareça inofensivo, existe um risco específico de que a IA "aprenda" essas informações durante a conversa (por exemplo: "meu CPF é 123.456.789-00") e posteriormente outros usuários possam recuperar esses dados através de consultas direcionadas. Embora esse risco possa parecer remoto, ele não é zero. Adicionalmente, dados como números de telefone, e-mails pessoais ou informações familiares podem ser utilizados para engenharia social ou outros ataques cibernéticos.
2. Violação da LGPD: O compartilhamento de dados pessoais sensíveis sem autorização expressa do titular constitui violação direta aos princípios da LGPD. A legislação exige consentimento específico e inequívoco para o tratamento de dados sensíveis, e inserir essas informações em plataformas externas pode configurar transferência não autorizada de dados, resultando em penalidades para a organização.

Exemplo: Em vez de perguntar para IA "Meu CPF é 123.456.789-00, como declaro imposto de renda?", pergunte "Como uma pessoa física declara imposto de renda no Brasil?".

Cuidado ao carregar documentos e planilhas com dados sensíveis.

Antes de fazer upload de documentos e planilhas, verifique se não contêm informações confidenciais em metadados, comentários ocultos ou propriedades do arquivo. Remova dados sensíveis e considere criar versões sanitizadas com apenas as informações essenciais, ou substituindo informações sensíveis por códigos genéricos.

Exemplo: Para um contrato, remova nomes reais, valores específicos e dados de contato, substituindo por "Empresa X", "Valor Y" e "[email protected]" antes do upload.

É seguro enviar trechos de códigos para solicitar ajuda a IA?

É relativamente seguro quando você remove informações sensíveis como strings de conexão, chaves de API, URLs internas e comentários que revelem lógica de negócio.

Exemplo:

ANTES (NÃO ENVIAR):

conn = "server=empresa.com;user=admin;password=123456"

api_key = "sk-proj-abc123xyz"

DEPOIS (SEGURO):

conn = "server=exemplo.com;user=usuario;password=senha_exemplo"

api_key = "sua_api_key_aqui"

Limite o uso de complementos de terceiros dentro das ferramentas

Complementos de terceiros podem ter acesso aos seus dados e não seguir os mesmos padrões de segurança da ferramenta principal. Além da própria IA já armazenar seus prompts e conversas, esses complementos adicionam uma segunda camada de coleta e processamentos de dados, muitas vezes sem transparência adequada sobre como essas informações são utilizadas.

Esses complementos podem extrair e armazenar seus prompts sem que você tenha conhecimento, criando oportunidades para uso indevido das informações, incluindo aplicação em golpes direcionados ou comercialização não autorizada de dados pessoais e empresariais.

Antes de instalar qualquer complemento, verifique a reputação do desenvolvedor, leia atentamente as políticas de privacidade, analise as permissões solicitadas e considere se os benefícios justificam realmente a exposição adicional de dados.

Configure as políticas de privacidade das principais ferramentas.

As configurações padrão das ferramentas de IA geralmente priorizam a coleta de dados para melhoramento dos seus modelos. Por isso, é fundamental ajustar manualmente as configurações de privacidade para aumentar a segurança dos seus dados e reduzir o uso dos seus conteúdos nos treinamentos dos modelos de IA.

Por que fazer essas configurações?

1. Redução do treinamento: reduz o risco das suas conversas serem utilizadas para treinar versões futuras da IA
2. Menor retenção de dados: reduz o tempo e a forma como seus dados são armazenados
3. Controle de uso: permite que você tenha mais controle sobre como suas informações são processadas
4. Minimização de riscos: diminui as chances de seus dados serem expostos em caso de vazamentos ou falhas de segurança

Como configurar as políticas de privacidade nas principais plataformas:

1. ChatGPT: Vá em Settings → Data Controls → desative "Improve the model for everyone" e "Allow training on your conversations"
2. Google Gemini: Acesse o Gemini no navegador → Clique na foto de perfil (canto superior direito) → Configurações → Privacidade → Desative: Usar suas conversas com o Bard para melhorar nossos produtos.
3. Microsoft Copilot: Em Configurações → Privacidade → desative "Usar dados para melhorar o serviço"

Importante: mesmo aplicando essas configurações, os provedores ainda podem armazenar logs temporários para garantir funcionamento, segurança e detecção de abusos. Nenhuma ferramenta garante “zero coleta”. A prática mais segura continua sendo: não insira dados sensíveis ou identificáveis nas interações.

Para as empresas:

Implementação de políticas claras

Estabeleça políticas abrangentes que definam quais tipos de dados podem ser compartilhados com ferramentas de IA, quais ferramentas são aprovadas para uso empresarial e procedimentos para avaliação de novas ferramentas. As políticas devem incluir exemplos práticos, diferentes níveis de restrição por departamento e protocolos para resposta a incidentes

Avaliação das ferramentas previamente ao uso

Realize avaliação completa antes de aprovar ferramentas de IA incluindo análise da política de privacidade, segurança da infraestrutura, conformidade com regulamentações (LGPD, GDPR) e histórico de segurança do fornecedor.

Implementação de controles técnicos

Implemente sistemas de monitoramento de rede, proxies corporativos para filtrar tráfego para ferramentas de IA, sistemas de prevenção contra vazamentos de dados (DLP) e ferramentas de gestão de identidade.

Treinamento e conscientização

Desenvolva programas de treinamento que eduquem funcionários sobre riscos e benefícios da IA, incluindo sessões práticas, simulações de cenários de risco e atualizações regulares sobre novas ameaças.

Uso de versões empresariais de ferramentas de IA

No mercado já existem versões empresariais das principais ferramentas de IA que a diferença das versões publicas, oferecem regulações contratuais que proporcionam diferenciais significativos em termos de controle e segurança dos dados. Um exemplo é o ChatGPT na versão Entreprise que menciona no seu site “Por padrão, não usamos dados empresariais do ChatGPT Enterprise, incluindo entradas e resultados, para treinar ou melhorar nossos modelos”.

Protegendo sua infraestrutura na era da IA

Além dos cuidados no uso de plataformas de IA generativa, é fundamental que as organizações mantenham uma postura proativa na identificação e correção de vulnerabilidades em sua infraestrutura de TI.

A IA não se limita apenas aos chatbots e assistentes virtuais. Tecnologias avançadas de IA estão mudando a forma como detectamos e respondemos a ameaças de segurança, oferecendo capacidades de análise comportamental e identificação de padrões suspeitos que superam métodos tradicionais de proteção.

Para organizações que buscam uma proteção abrangente contra vulnerabilidades, a implementação de soluções que combinam IA com análise contínua de segurança representa um diferencial estratégico na proteção de dados e sistemas críticos.

Como as soluções da BluePex® utilizam a IA para fortalecer a segurança corporativa.

As soluções BluePex® já incorporam esse diferencial tecnológico, aproveitando as vantagens da IA para elevar a proteção das organizações.

Através da IA heurística, nossos produtos detectam comportamentos suspeitos e vulnerabilidades em tempo real, bloqueando-os antes que se materializem em ataques efetivos.

Esta abordagem preventiva permite às empresas adotar uma postura proativa frente às ameaças, mantendo a segurança da infraestrutura enquanto preserva a continuidade dos negócios.

Quer conhecer mais sobre as nossas soluções?

Fale agora com um especialista